НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

От чего и чем будем защищаться?

Валерий Васильев
19.12.2013 13:30:25

Новогодняя пора – время гаданий. Ну или составления прогнозов. Позволю и себе нечто среднее между первым и вторым.

Самой страшной корпоративной кибербедой сегодня стали долговременные целевые кибератаки – APT. Эти атаки ни в коей мере не отменяют тех средств защиты, к которым мы привычны. Однако помимо привычных средств они требуют и дополнительных, основное качество которых – ориентация на выявление аномалий путем аналитических исследований и экспертных оценок консолидированной информации, собираемой как внутри компании со всех корпоративных ИТ- и ИБ-средств, так и за периметром (киберразведка в Интернете).

Для индивидуальных пользователей APT не так страшны (если не брать в расчет крупных политиков, бизнесменов, военных) ввиду их дороговизны и сложности. Гораздо страшнее, как мне представляется, для индивидуалов блокираторы-шифраторы. Снятие современных блокираторов, одновременно шифрующих данные на атакованном компьютере, не гарантируют самые крупные ИБ-компании, в штате которых есть и высококлассные специалисты, и мощные вычислительные ресурсы. Причина – использование в блокираторах-шифраторах сложных криптоалгоритмов, справиться с которыми за разумное время и деньги невозможно.

Для себя я принял решение, что лучшим вариантом защиты от такой напасти, как блокираторы-шифраторы, может быть возможно более частое (думаю, раз в сутки достаточно) резервное копирование состояние компьютера. Кстати, резервное копирование - мощный инструмент защиты и от APT-атак тоже.

Комментариев: 4

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

Donat Lipkovsky
20.12.2013 21:05:50

Как бы странно это не звучало, но защита от перечисленных неприятностей банальна донельзя и осуществляется средствами самой ОС. Даже, антивирус, может в некотором смысле, не участвовать в этом процессе.

21.12.2013 15:34:47

Вы правы, звучит странно. Ну откуда уверенность, что банальная защита средствами самой ОС столь же банально при соответствующей мотивации не обходится? Да, выполнение некоторых (сто раз всем известных) рекомендаций снижает (статистически) уязвимость на порядки. Но и потенциальному нарушителю все эти рекомендации тоже известны, и исходить он должен всё-таки из соображений что они выполняются.
Так что использование только стандартных мер - это всё ещё состояние потенциальной жертвы.

Donat Lipkovsky
21.12.2013 16:24:50

Потенциальный нарушитель исходит, как раз и в основном, из соображений, что стандартные требования по безопасности не выполняются. Ищутся слабые места, а не сильные. Это, как в военной операции или любом противостоянии.
А "обычный" пользователь в состоянии потенциальной жертвы при любом раскладе, пока, по объективным причинам, у него есть право разрешать выполнение программ с правами администратора, независимо - работает он под админом или под обычным пользователем. Это, как в обычной жизни - ваше право открывать дверь квартиры посторонним или нет, и тут никакие банковские двери и замки не помогут если вы хозяин.
Если исходить из невыполнения правил и разговаривать не о чем.
Просто банальное применение малоизвестных в широких кругах обычных пользователей и недооцениваемое в узких кругах отдельных администраторов стандартных средств самой системы, при условии, что пользователь работает с обычными правами не позволяет запуститься зловреду вообще. Дело не доходит, даже, до запроса системы (UAC) на применения прав администратора. Пользователь, собственно, в одном случае, даже, не заметит, что потенциальная гадость пыталась, запуститься, но не запустилась (останется запись лишь в журнале событий), в другом - получит сообщение системы о блокировке запуска и всё. Надо оговориться, что на 100% это работает в корпоративной среде, где пользователь лишён права применять административные привилегии. Даже если программный алгоритм зловреда не получил нужных привилегий, то обычно он всё же выводит блокирующий, более-менее устойчивый баннер, правда без катастрофических последствий для системы. В случае применения правил, о которых говорю я не выведет, даже, баннер - он вообще не запустится.
У меня проблем с неважно каким зловредом, что дома у всех членов моего небольшого семейства, что в корпоративных средах, которые я обслуживаю не стоит уже лет так 6-7. Антивирус стандартный Microsoft'овский и Microsoft System Center Endpoint Protection. Ещё раз оговорюсь - дело в принципе не в антивирусе. Дело в комплексном подходе к безопасности.
Да, найти зловред (ы) на определённой (скажем, компьютеры начальства) части компьютеров на самом диске можно, и они лежат там мёртвым грузом, ибо банально не запустились.
Все проблемы с безопасностью, что в компьютерной среде, что обычной жизни в целом одни и те же. Кто серьёзно подходит к вопросу и там и там - живут счастливо.



27.12.2013 13:33:51

Несколько громоздко, но надежно.
Базовая система - Linux. В Интернет только через него.
В Linux ставится VirtualBox. Когда нужна Windows - она там всегда под рукой.

Остается вопрос об общей папке. (В Windows под VirtualBox она отображается как виртуальный сетевой диск). Видимо, ее надо считать Tmp, и вовремя перебрасывать ее файлы в эксклюзивное ведомство Linux. Но если в виртуальной Windows Интернетом не пользоваться, это уже не обязательно.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии